Helseministeren skyter på feil blink
Det pågår en kamp om hvem som har skylden for at Smittestopp ble vraket. Helse- og omsorgsminister Bent Høie har ved flere anledninger gått langt i å antyde at Datatilsynet har skyld i at Folkehelseinstituttet (FHI) avviklet appen og slettet alle data. Han kritiserer blant annet at Datatilsynet «i veldig stor grad la vekt på forholdsmessigheten i tiltaket», og for at det er vår skyld at man ikke fikk tilgang til viktige data om smittespredning.
Det er selvsagt helt legitimt å være uenig i vår vurdering. Men Høies argumentasjon er omtrent som å si at man kommer fortere fram hvis man kjører i 100 km/t i 80–sonen, og at det er politiets skyld dersom man blir stoppet og får en bot. Datatilsynets konklusjon er bygd på en meget grundig analyse av appen, både teknisk og juridisk. Vurderingen av løsningen er gjort opp mot personvernforordningen og personopplysningsloven, som igjen henter viktige prinsipper fra Den europeiske menneskerettighetskonvensjonen.
Grundig vurdering og bred enighet
Det er bred enighet om at en app som Smittestopp er et stort inngrep i den enkeltes privatliv.
I en situasjon uten koronavirus ville det vært helt utenkelig at myndighetene skulle utvikle en app som samlet inn opplysninger om hvem vi borgere var i nærkontakt med, og hvor vi beveget oss – og lagre opplysningene i et sentralt lager.
Selv i en koronasituasjon stilles imidlertid strenge krav til både teknologivalg, det juridiske rammeverket som regulerer bruken og selvsagt om appen faktisk har noen nytte.
Høie sier at vi la «veldig stor vekt på forholdsmessigheten i tiltaket», og at «Smittetopp var i tråd med godt personvern». Det er riktig at vi la vekt på forholdsmessigheten, fordi det er selv kjernen i personvernet: Ulike hensyn må veies mot hverandre. Vi vurderte en rekke ulike momenter. Blant annet la vi vekt på at appen hadde tre formål i ett samtykke:
- sporing av nærkontakter,
- modellering av smittespredning og
- forskning.
Dette er problematisk, fordi det fratar borgerne retten til selv å bestemme hva personopplysningene deres skal brukes til.
Det ble også brukt posisjoneringsdata (GPS) i smittesporingen. I personvernet er dataminimaliseringsprinsippet viktig. Det betyr at man aldri skal samle inn mer data enn man trenger for å oppnå formålet med behandlingen. I nær sagt alle toneangivende teknologimiljøer er det bred enighet om at det er unødvendig å bruke GPS i smittesporingen, noe som brøt med det nevnte prinsippet.
I sum utgjorde dette et betydelig inngrep i den enkeltes personvern. Da må det foreligge solid dokumentasjon for at appen faktisk har en nytte. Problemet var at slik dokumentasjon ikke fantes. Da vi fattet vårt vedtak hadde 14 prosent av befolkningen over 16 år lastet ned appen, mens FHI mente det burde være minst 50 prosent, helst 60 prosent, oppslutning for at den skulle ha den nødvendige effekten. De sa også at det var «vanskelig å validere om riktige personer ble varslet, ikke for få, ikke for mange», grunnet smittesituasjonen i midten av juni.
Vår konklusjon var derfor at appen var ulovlig fordi det ikke kunne dokumenteres at nytten av appen forsvarte alvorligheten i personverninngrepet.
Skyter på feil blink, og bommer
Høie står fritt til å mene at appen var «i tråd med godt personvern». Men det er verdt å merke seg at Smittestopp var i direkte strid med veiledning fra Personvernrådet, som er EUs øverste personvernorgan. Stortinget vedtok at formålene i appen måtte deles opp, slik at man for eksempel kunne velge kun å si ja til smittesporing, men nei til modellering av smittespredning.
Den norske appen har også blitt kritisert av Amnesty International. De rangerer appen som en av de aller mest inngripende i menneskerettighetsperspektiv.
Ekspertgruppen som ble oppnevnt av Helse- og omsorgsdepartementet, konkluderte 20. mai med at verken personvern eller informasjonssikkerhet i appen var godt nok ivaretatt. Omtrent samtidig kom mer enn 60 fremtredende IT-eksperter med bred kritikk av appen. Og så vidt vi er kjent med, har ingen land det er naturlig å sammenligne oss med, valgt en løsning som er så inngripende som den norske.
Mye kunne vært gjort annerledes i denne saken, men etterpåklokskap står seg dårlig i den krevende tiden vi lever i.
Å skylde på Datatilsynet for at man nå ikke «får den kunnskapen som denne appen kunne gitt oss», blir å skyte på feil blink.
Jeg tror det kunne vært mulig å utvikle en app som fylte de formålene Høie ønsker, men da måtte man blant annet ha brukt mer tid, utviklet annen teknologi, lyttet til Stortinget, gitt borgerne mer selvbestemmelse og trukket mer på bredden i det teknologiske miljøet (som man finner blant de som skrev under på oppropet nevnt over). At man nå, mer enn et halvt år etter at samfunnet stengte ned, ikke har en app på plass, skyldes ikke Datatilsynet.
(Denne kronikken var også publisert i Dagbladet 7. oktober 2020.)
Personvern i en krisetid
Hvilke tiltak vi iverksetter i dag vil ikke bare påvirke hvordan pandemien utvikler seg, men også hvilket samfunn vi skal leve i når sykdommen har rast fra seg. Den viktigste oppgaven i verden nå er å håndtere koronapandemien. Det er så viktig at vi setter nesten alt...
les mer
Når reklamen ser deg
Du er kanskje vant til å se reklame overalt du beveger deg. Har du noen gang tenkt på at reklamen kanskje ser deg også? Noen reklameskilt har et innebygget kamera som analyserer ansiktene til forbipasserende. På denne måten kan reklamebudskapet tilpasses til...
les mer Barn fortjener bedre personvern i skolen
Når hver enkelt kommune må utforme sin egen digitale skolehverdag kan mye gå galt. Kanskje ligger løsningen på nasjonalt nivå. Denne bloggen står som kronikk i Aftenposten på den internasjonale personverndagen 28. januar. I dag markeres den internasjonale...
les mer Hvorfor kunstig intelligens krever økt fokus på personvern og etikk
Dette innlegget ble holdt på fremleggelsen av regjeringens strategi for kunstig intelligens den 15. januar 2020. Personvern er svært viktig når vi skal utvikle gode løsninger for kunstig intelligens. Innsatsfaktoren i mange av de løsningene som de neste årene vil bli...
les mer
Intellektuell gjeld – den skjulte kostnaden ved kunstig intelligens
Det er ikke bare den kunstige intelligensen som feiler som bør bekymre oss. Vi må også ha oppmerksomheten rettet mot den kunstige intelligensen som gir gode svar, men svar vi ikke kan forklare. (Artikkelen sto på trykk i Dagens Næringsliv den 10. januar 2020) I 1897...
les mer Samisk etnisitet for statistikk- eller forskningsformål
Dette innlegget ble holdt på Sametingets høring 20. november 2019 Først vil jeg si mange takk for invitasjonen. Jeg er veldig glad for å bli invitert hit for å diskutere denne viktige saken. Målet mitt er å gi et innspill til debatten om statistiske data om samer i...
les mer
Barns rett til personvern og foreldres eksponering
Høyesterett har nylig avsagt dom i en historisk sak, der en mor er straffedømt for å ha krenket sitt barns rett til privatliv. Dommen bidrar til å trekke en grense for foreldres deling av barns private øyeblikk på sosiale medier. Den belyser et stadig tilbakevendende...
les mer
Kloke råd fra ett personvernombud til oss 1 700 andre
I mine to roller som henholdsvis Datatilsynets eget personvernombud og kontaktperson for de over 1 700 personvernombudene «der ute», har jeg fått god kjennskap til hvor spennende, men også utfordrende, ombudsrollen kan være. Personvernombudene opplever å ha...
les mer Menneskerettigheter er ingen synsesak
(Dette innlegget sto på trykk i Dagens Næringsliv 7. oktober 2019.) Føyen og Langeland stiller seg kritiske til en mulig lovendring som de mener «vil gi Datatilsynet mer makt». De mistolker innholdet i lovendringen, unnlater å nevne bakgrunnen og hopper bukk over...
les mer En personvernguide til Arendalsuka 2019
Et av årets personvernhøydepunkter nærmer seg, nemlig Arendalsuka! Datatilsynet har vært aktivt tilstede de siste årene, og 2019 blir intet unntak. Vi ser med glede at personvern er på agendaen i mange sesjoner, og selv om det ikke alltid er hovedtema, er personvern...
les mer
Siste kommentarer